Hallo,
Heute ist etwas kurioses passiert.
kurz nach 14.00 Uhr kommt ein gast auf die HP, registriert sich scheinbar und verschafft sich wie auch immer vollen Zugriff als Hauptadmin. Er hat alle Mitglieder gelöscht und das Forum geschlossen. Nun erscheint eine Startseite mit ilch..... Login.
Wie kann das sein ?
habe die Logfiles noch nicht ganz ausgewertet und werde auch Anzeige erstatten. ist ja doch sowas wie Sachbeschädigung.
Ne IP hat er natürlich hinterlassen in den Weblogs.
Ich konnte bisher schon mal sehen das in der MySQl DB dieser User mit den rechten -5 eingetragen ist.
Zugriff auf die DB hat er nicht gehabt , auch keinen zugriff auf den FTP.
Passwörter wurden genauso nicht weitergegeben und waren auch nicht leicht zu erraten.
Vielleicht bin ich ja nach seiner Aussage bei der Polizei schlauer.
Ich vermute da ein Bug im Script.
Es ist sehr oft auf die admin.php zugegriffen worden.
Die config.php etc haben alle die richtigen rechte auch noch nach den Angriff gehabt.
Er hat kurz vorher auch in der Shoutbox noch eine Nachricht hinterlassen in der er diese Tat ankündigte.
Leider kann cih die IP dieses Eintrages nicht identifizieren da es in ilch so eine Option nicht gibt. Schade eigentlich.
Jan
Beitrag zur Merkliste hinzufügen
Hier kann eine Notiz zum Merk-Eintrag hinzugefügt werden (optional)
ilch Forum » Ilch Clan 1.1 » Fehlersuche und Probleme » Voller Admin-Zugriff möglich als Guest ?
| Geschlossen | ||
-
Sa. 25.02.2006
19:58 Uhr
#1
- Registriert seit
- 09.02.2006
- Beiträge
- 20
- Beitragswertungen
-
hi, erstmal tuts mir leid was dir passiert ist.
Zitat geschrieben von dojando
das sieht nach einem datenbankreset aus, vill konnte er sich zugang zu phpmyadmin beschaffen!?
Zitat geschrieben von dojando
es gibt aber sehr wohl eine shoutbox die die ip mitloggt.
ich hoffe für dich, das du ein backup gemacht hast.
Zitat geschrieben von dojando
hast du das neueste update geladen? das soll welche ausmerzen.
Aber ich befürchte das man ein script nie soweit ausbauen kann, das es hacksicher wird.
mfg lux -
Sa. 25.02.2006
20:37 Uhr
#3
- Registriert seit
- 09.02.2006
- Beiträge
- 20
- Beitragswertungen
hi,
Mir ist es selber noch ein Rätzel.
Weiss nicht ob der so schlau ist und den Link zu php my admin weiss. dann müßte er ja noch das PW dazu kennen,
Ja das habe da das neueste ilch drauf gehabt.
Datenbankreset ist ausgeschlossen da er sich selber einen Account mit einem uns unbekannten Namen gemacht hat mit Adminrechten (-5) .
ich warte jetzt noch auf ne Rückantwort vom Abuse-Team wo cih den Server angemietet habe und werde dann Anzeige erstatten. Selbst wenn jemand irgendwie an das PW gekommen ist hat er ja kein Recht da zu Zerstören. Ist ja wie Einbruch und Möbel zerschlagen.
Weißt du vielleicht in welcher Datei ich die IP des Users sehen kann wo er in die Shoutbox geschrieben hat ? -
die shoutbox muss man erst reinmachen, die gibts nicht von anfang an
-
Sa. 25.02.2006
20:49 Uhr
#5
- Registriert seit
- 09.02.2006
- Beiträge
- 20
- Beitragswertungen
hmmm., also da is doch eine drinne ???
Wo kommt die denn her ? *g*
Die war schon bei der installation drinne -
-
Sa. 25.02.2006
21:23 Uhr
#7
- Registriert seit
- 09.02.2006
- Beiträge
- 20
- Beitragswertungen
Hätte nützt mir nichts.., Danke *g*
ich suche die Antwort wie das möglich war.
Entweder hat der Trottel das Passwort irgendwoher oder es is nen Fehler im Script :-(,
Auf jeden Fall scheinte er genau zu wissen was er da machen mußte.
Für mich interessant wenn es ne Datei gäbe in der ich sehen kann das er alle registrierten User gelöscht hat.
| Geschlossen | ||
 |
Zurück zu Fehlersuche und Probleme | |
Optionen: Bei einer Antwort zu diesem Thema eine eMail erhalten